Modificación sustancial en virtud de la Ley de IA de la UE

Una modificación sustancial (substantial modification) es un cambio poscomercialización de un sistema de IA que, o bien afecta al cumplimiento por parte del sistema de los requisitos de alto riesgo, o bien altera la finalidad prevista para la que el sistema se evaluó originalmente. El término se define formalmente en el artículo 3 del Reglamento (UE) 2024/1689 (punto 23). Su peso práctico es considerable: si se equivoca en esto, una empresa que empezó como responsable del despliegue puede terminar el día como proveedor, con toda la pila de obligaciones del Artículo 16 que ello implica.

La definición de la Ley de IA de la UE

El artículo 3 del Reglamento (UE) 2024/1689 define la modificación sustancial como un cambio en un sistema de IA tras su introducción en el mercado o su puesta en servicio que satisface dos condiciones: no estaba previsto ni planificado en la evaluación de la conformidad inicial del proveedor, y produce uno de dos resultados — afecta al cumplimiento por parte del sistema de los requisitos de alto riesgo, o da lugar a una modificación de la finalidad prevista para la que el sistema se evaluó.

Ambos desencadenantes tienen igual peso jurídico. El primero es principalmente técnico: un cambio que degrada o reconfigura el sistema de un modo que incide en el sistema de gestión de riesgos del Artículo 9, la documentación técnica del Artículo 11, los requisitos de exactitud del Artículo 15 o las medidas de supervisión humana del Artículo 14. Si los supuestos de la evaluación de la conformidad original ya no se sostienen, es probable que la modificación sea sustancial.

El segundo desencadenante es más amplio y resulta más fácil tropezar con él. La finalidad prevista designa el uso para el que se diseña el sistema de IA, incluidos el contexto y las condiciones de uso específicos. Una herramienta de un proveedor reutilizada para una finalidad materialmente distinta puede activar este desencadenante aun cuando los pesos del modelo subyacente no hayan cambiado.

El matiz de «no previsto ni planificado» es la condición limitadora clave. Un proveedor que delimitó explícitamente las modificaciones futuras en la evaluación de la conformidad original — documentó la vía de actualización planificada y mantuvo un SGC con arreglo al Artículo 17 que la cubre — tiene un argumento defendible de que los cambios dentro de ese alcance no son sustanciales. La ausencia de esa documentación es lo que convierte la evolución rutinaria del producto en un evento de cumplimiento.

Por qué importa: el cambio de rol del Artículo 25

El Artículo 25 del Reglamento (UE) 2024/1689 regula las responsabilidades a lo largo de la cadena de valor de la IA. Su regla central es esta: un responsable del despliegue, distribuidor, importador u otro tercero que modifique sustancialmente un sistema de IA de alto riesgo es tratado como proveedor de ese sistema y asume las obligaciones del proveedor con arreglo al Artículo 16.

La pila de obligaciones del proveedor con arreglo al Artículo 16 no es ligera. Incluye establecer un sistema de gestión de la calidad (Artículo 17), elaborar documentación técnica conforme al estándar del Anexo IV (Artículo 11), realizar una evaluación de la conformidad del Artículo 43, redactar la declaración UE de conformidad con arreglo al Artículo 47, colocar el marcado CE con arreglo al Artículo 48, registrar el sistema en la base de datos de la UE con arreglo al Artículo 49 y mantener la vigilancia poscomercialización con arreglo al Artículo 72 con la notificación de incidentes graves con arreglo al Artículo 73. Un responsable del despliegue que ajusta (fine-tunes) un modelo de un proveedor, amplía su alcance o le cambia la marca sin reconocer el cambio de rol puede deber de repente todo esto.

El Artículo 25 también capta otros dos escenarios junto a la modificación sustancial. Colocar su propio nombre o marca en un sistema de IA de alto riesgo que usted no desarrolló originalmente también le convierte en proveedor. También lo hace modificar la finalidad prevista de un sistema de IA de modo que pase a entrar en una categoría de alto riesgo en virtud del Artículo 6 y del Anexo III — aunque el sistema fuera originalmente de riesgo mínimo o limitado y no se haya realizado ningún cambio físico en el modelo.

La consecuencia para la evaluación de la conformidad se deriva directamente del Artículo 43. Los proveedores de sistemas de IA de alto riesgo de la mayoría de las categorías del Anexo III deben llevar a cabo una evaluación de la conformidad interna con arreglo al Anexo VI antes de introducir el sistema en el mercado o ponerlo en servicio. Para los sistemas del Anexo III, punto 1 (identificación y categorización biométrica), se aplica por lo general la vía del organismo notificado del Anexo VII. Una modificación sustancial pone, en efecto, el contador a cero: la evaluación de la conformidad anterior ya no cubre el sistema modificado, y se requiere una nueva evaluación antes de desplegar el sistema modificado.

Ejemplos

Entender dónde cae la línea es más fácil a través de casos concretos.

Ajustar (fine-tuning) un modelo con datos propios. Una empresa de software de selección de personal compra acceso a un modelo de contratación de uso general, evaluado y documentado por el proveedor original como cubierto para el cribado estructurado de candidatos. La empresa lo ajusta con su propia base de datos de resultados de contratación. Esto es un candidato: la modificación no estaba planificada en la evaluación del proveedor, y cambia el comportamiento del modelo en un uso que se sitúa de lleno en el Anexo III, punto 4 (empleo, gestión de los trabajadores, acceso al autoempleo). Si es sustancial, la empresa se pone en el papel de proveedor en virtud del Artículo 25.

Cambiar la finalidad prevista de un sistema de IA. Un modelo de solvencia introducido en el mercado para uso de prestamistas — un uso de alto riesgo con arreglo al Anexo III, punto 5, letra b) — es licenciado por una empresa de análisis de datos y reutilizado para puntuar a proveedores en cuanto a riesgo de adquisiciones. El modelo subyacente puede ser idéntico, pero la finalidad prevista ha cambiado, activando el desencadenante del artículo 3 y exigiendo una evaluación en virtud del Artículo 25.

Cambiar la marca de la herramienta de un proveedor. Un integrador de TI sanitaria toma un módulo de apoyo a la decisión clínica, añade su propia marca y lo vende con su propio nombre de producto. No se realizó ninguna modificación del modelo — pero el Artículo 25 sigue tratando al integrador como proveedor porque colocó su propio nombre en el sistema. La pila del Artículo 16 le sigue.

Cambios que no son sustanciales. Los parches rutinarios de corrección de errores que se anticiparon en el SGC original del proveedor y se documentaron como actualizaciones dentro del alcance no desencadenan una modificación sustancial. Las optimizaciones de rendimiento que mejoran la exactitud sin cambiar la finalidad prevista tampoco es probable que sean sustanciales — siempre que se hubieran planificado. La prueba es si la evaluación de la conformidad original sigue cubriendo con exactitud el sistema tal como se despliega hoy.

Cómo gestionar el riesgo

La mayoría de las organizaciones que cambian o integran sistemas de IA no disponen de un proceso de revisión formal que plantee la pregunta del artículo 3 antes del despliegue. La modificación ocurre — un ajuste aquí, una ampliación de alcance allá, un componente de un proveedor bajo su propia marca — y el estado de cumplimiento cambia sin que nadie lo advierta.

Documente los cambios frente a la definición antes de desplegar. Una breve evaluación escrita cada vez: ¿cambia esto la finalidad prevista? ¿Afecta al cumplimiento de los requisitos de alto riesgo de los Artículos 9 a 15? ¿Estaba previsto en la evaluación de la conformidad original? Tres preguntas, registradas con el razonamiento. Esto crea tanto un rastro de auditoría como un mecanismo de alerta temprana.

Informe a sus equipos de adquisiciones e integración sobre el Artículo 25. Los ingenieros que amplían herramientas de proveedores están tomando decisiones de cumplimiento sin saberlo. Los departamentos jurídico y de cumplimiento deben situarse aguas arriba del despliegue, no revisar después de los hechos.

Para los sistemas de IA de alto riesgo, mantenga un registro de cambios vinculado a la documentación técnica del Artículo 11. Toda modificación que afecte a la arquitectura del modelo, los datos de entrenamiento, la finalidad prevista o las condiciones de funcionamiento debe evaluarse y marcarse como dentro del alcance de la evaluación de la conformidad existente o como desencadenante de una nueva.

El motor de clasificación basado en reglas de Confir codifica la lógica de determinación de roles del Artículo 25 de forma determinista: las mismas respuestas de admisión producirán siempre la misma conclusión de rol. Si una modificación se evalúa como sustancial, Confir reclasifica el sistema afectado y señala las obligaciones del Artículo 16 que ahora se aplican — la regla que se activó es visible y auditable.

Preguntas frecuentes

¿Se aplica la modificación sustancial únicamente a los sistemas de IA de alto riesgo?

La definición de modificación sustancial del artículo 3 se aplica a los sistemas de IA en general, pero las consecuencias jurídicas con arreglo al Artículo 25 que más importan — el cambio de rol a proveedor y el requisito de una nueva evaluación de la conformidad con arreglo al Artículo 43 — recaen específicamente sobre los sistemas de IA de alto riesgo. Si el sistema modificado no es de alto riesgo, la definición puede seguir siendo pertinente para otros fines (como actualizar la documentación técnica o la declaración UE de conformidad), pero la conversión al rol de proveedor es la principal preocupación para los sistemas del Anexo III.

Si ajusto (fine-tune) el modelo de un proveedor pero el proveedor documentó la vía de ajuste, ¿sigo siendo proveedor?

No necesariamente. Si la evaluación de la conformidad del proveedor anticipó explícitamente el ajuste — describió la vía de modificación permitida y los procedimientos del SGC que la cubren — entonces el ajuste dentro de esos parámetros podría sostenerse que no es un cambio «no previsto ni planificado». Consiga que esa delimitación se confirme por escrito y verifique que su ajuste concreto se mantiene dentro de ella. Si va más allá del alcance documentado, el análisis cambia.

¿Pueden el responsable del despliegue y el proveedor original compartir el trabajo de evaluación de la conformidad?

No existe un mecanismo formal de evaluación compartida en el Reglamento. La documentación técnica del proveedor original puede servir de base útil, pero la empresa que lleva a cabo la modificación sustancial es responsable de garantizar que la evaluación completa cubra el sistema modificado. Los acuerdos contractuales pueden repartir las obligaciones de documentación entre las partes, pero no desplazan la responsabilidad jurídica con arreglo al Artículo 25.

¿Cuenta como modificación sustancial cambiar la interfaz o la experiencia de usuario de un sistema?

Un cambio de interfaz puro que no afecte al comportamiento, los resultados, la finalidad prevista del sistema de IA ni las condiciones de uso descritas en la evaluación de la conformidad es poco probable que sea sustancial. No obstante, si el cambio de interfaz amplía en la práctica el alcance del uso — por ejemplo, haciendo accesible el sistema a una nueva categoría de usuarios o a un caso de uso no cubierto en la evaluación original — puede activarse el desencadenante de la finalidad prevista. La evaluación siempre depende de los hechos.

¿Cuándo exige el Artículo 43 un organismo notificado para la nueva evaluación de la conformidad?

Para la mayoría de las categorías del Anexo III, la evaluación de la conformidad de un sistema modificado sustancialmente sigue el procedimiento de autoevaluación interna del Anexo VI, como ocurriría con el sistema original. La vía del organismo notificado del Anexo VII se aplica principalmente a los sistemas de IA que entran en el Anexo III, punto 1 (sistemas de identificación y categorización biométrica remota), cuando no se aplican normas armonizadas. Para todas las demás categorías del Anexo III, una evaluación interna por parte del nuevo proveedor es el procedimiento estándar.

¿Qué sanción se aplica si una empresa no realiza una nueva evaluación de la conformidad tras una modificación sustancial?

No realizar una evaluación de la conformidad exigida es un incumplimiento de las obligaciones de alto riesgo. Con arreglo al Artículo 99, apartado 4, la multa máxima es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total del ejercicio financiero anterior, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija.

Términos relacionados

• Proveedor frente a responsable del despliegue en virtud de la Ley de IA de la UE
• Obligaciones del proveedor: la pila del Artículo 16
• Obligaciones del responsable del despliegue en virtud de la Ley de IA de la UE
• Evaluación de la conformidad con arreglo al Artículo 43
• Evaluación de la conformidad de la Ley de IA de la UE: el proceso completo
• Finalidad prevista